1、“.....骨干网络的带宽已达，国 际出口达到了，网络节点超过个大中城市可以向各种用户提供卫星 帧中继接入信息服务电话电子商 务等服务。年是金桥网建设大发展的年，骨干网带宽及国际出口带宽将进 步扩宽以满足用户的需要网络节点将大规模增加以增加网络的覆盖在已经 建设的网管中心维护中心的基础上，还将建设计费与结算中心客服中心认 证中心数据中心，使网络的规模业务与服务的水平都上到个新的台阶。 随着用户数量的不断扩大，应用水平的不断提高，个不容忽视的问题 网络安全越来越受到人们的关注，对网络安全体系的建立和全面解决方案的需求 迫在眉睫。于是，吉通通信有限责任公司作为金桥工程的业主提出招标，为金桥 网提供整套的安全解决方案。包括安全政策的制定体系结构的设计安全产 品的选择和集成，以及长期的合作和技术支持服务......”。

2、“.....实现对金桥网的全面安全管理。 将安全策略硬件及软件等方法结合起来，构成个统的防御系统，有 效阻止非法用户进入网络，减少网络的安全风险。 定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时 具备很好的安全取证措施。 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复 到破坏前的状态。最大限度地减少损失。 套完整的安全管理体系应能覆盖包括金桥网国际出口国内网间互联骨干 节点级节点，以及即将建设的二级节点在内的所有节点设备链路和业务服 务系统等，并且根据金桥网的网络结构，管理模式，业务划分，确定安全等级， 针对不同的安全等级，实施相应的安全策略。 金桥网安全总体需求 根据金桥网的特点......”。

3、“.....每个方面都需要结合相关的 安全产品，相应的安全政策，实施包括预防检测反映在内的全过程。 安全政策 包括安全管理制度的制定和安全策略的实施。 根据管理原则，管理对象，卖方应协助买方修改制定切实可行的安全管理 制度或规范，同时结合安全策略的实施，建立完善的安全管理体系。 网络安全 针对网络设备和链路的保护。由于金桥网网络结构的复杂性，不可能对全网 做到集中式的安全管理，可采取分布式，针对各地分公司节点的不同网段如 网管网段办公网段用户接入网段或根据提供的不同业务类别，实施不同级 别的安全管理措施。 系统安全 针对主机系统的安全，主要以和为主 针对业务系统的安全，包括网管系统计费系统和网络应用服务器系统例如 等。 数据库系统安全 目前金桥网上数据库以为主，数据库的安全管理涉及到 用户的权限管理......”。

4、“..... 数据安全 管理对象主要是网络应用服务器中向用户提供信息服务的各类信息，以及计 划建设的数据中心等。 卖方应能够提出建设数据中心的安全解决方案建议。 防病毒 构造全网统的防病毒体系。主要面向服务器，以及办公网段的 服务器和机等。 第三章安全体系的实现技术 基于以上的分析，企业网络系统涉及到各方面的网络安全问题，我们认为整 个企业的安全体系必须集成多种安全技术实现。如虚拟网技术防火墙技术，入 侵监控技术安全漏洞扫描技术加密技术认证和数字签名技术等。 虚拟网技术 虚拟网技术主要基于近年发展的局域网交换技术和以太网交换。交换 技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有 能力限制局域网通讯的范围而无需通过开销很大的路由器......”。

5、“.....因此防止了大部分基于网络监听的入侵手 段。 通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟 网内节点。 但是，虚拟网技术也带来了新的安全问题 执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。 基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。 基于的不能防止欺骗攻击。 以太网的链路安全 以太网从本质上基于广播机制，但应用了交换器和技术后，实际上转 变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入改变 问题。 但是，采用基于的划分将面临假冒地址的攻击。因此， 的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个 交换端口所在的网段机器均属于相同的。 网络层通讯可以跨越路由器，因此攻击可以从远方发起。协议族各厂家实 现的不完善，因此，在网络层发现的必须支持禁止任何服务除非被明确允许的设计策略......”。

6、“.....而非改变安全策略适应。 必须是灵活的，以适应新的服务和机构智能改变带来的安全策略 的改变。 必须支持增强的认证机制。 应该使用过滤技术以允许或柜绝对特定主机的访问。 过滤描述语言应该灵活，界面友好，并支持源和目的，协议类型， 源和目的口，以及到达和离开界面。 应该为提供代理服务，以提供增强和集中的认证 管理机制。如果提供其它的服务如，等也必须通过代理服务器。 应该支持集中的处理，减少内部网和远程系统的直接连接。 应该支持对公共的访问，支持对公共 的保护，并且将同内部网隔离。 可支持对拨号接入的集中管理和过滤。 应支持对交通可疑活动的日志记录。 如果需要通用的操作系统，必须保证使用的操作系统安装了所有 己知的安全漏洞。 的设计应该是可理解和管理的。 依赖的操作系统应及时地升级以弥补安全漏洞......”。

7、“..... 抗攻击能力对典型攻击的防御能力 性能是否能够提供足够的网络吞吐能力 自我完备能力自身的安全性， 可管理能力是否支持网管 支持 认证和加密特性 服务的类型和原理 网络地址转换能力 入侵检测技术 利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络 保护，降低了网络安全风险。但是，仅仅使用防火墙网络安全还远远不够 入侵者可寻找防火墙背后可能敞开的后门。 入侵者可能就在防火墙内。 由于性能的限制，防火焰通常不能提供实时的入侵检测能力。 入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测 及采取相应的防护手段，如记录证据用于跟踪和恢复断开网络连接等。 实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它 能够缩短入侵的时间......”。

8、“.....实时监视可疑的连接 系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如服务器应 用。 基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如 下图示 图入侵检测系统的基本模型 上述模型由四个部分组成 网络数据包的协议分析器将结果送给模式匹配 部分并根据需要保存。 根据协议分析器的结果匹配入侵特征， 结果传送给部分。 执行规定的动作。 保存分析结果及相关数据。 基于主机的安全监控系统具备如下特点 精确，可以精确地判断入侵事件。 高级，可以判断应用层的入侵事件。 对入侵时间立即进行反应。 针对不回操作系统特点。 占用主机宝贵资源。 基于网络的安全监控系统具备如下特点 能够监视经过本网段的任何活动。 实时网络监视......”。

9、“..... 精确度较差。 ， ， ， ， 防入侵欺骗的能力较差。 交换网络环境难于配置。 基于主机及网络的入侵监控系统通常均可配置为分布式模式 在需要监视的服务器上安装监视模块，分别向管理服务器报告及上 传证据，提供跨平台的入侵监视解决方案。 在需要监视的网络路径上，放置监视模块，分别向管理服务器报告 及上传证据，提供跨网络的入侵监视解决方案。 选择入侵监视系统的要点是 协议分析及检测能力。 解码效率速度。 自身安全的完备性。 精确度及完整度，防欺骗能力。 模式更新速度。 安全扫描技术 网络安全技术中，另类重要技术为安全扫描技术。安全扫描技术与防火墙 安全监控系统互相配合能够提供很高安全性的网络。 安全扫描工具源于在入侵网络系统时采用的工具......”。